Votre premier cas d'utilisation SOAR : triage des attaques de phishing

Hameçonnage Cela reste une méthode d'attaque dangereusement efficace. En gros, 91% des attaques réussies commencent par du phishing. En moyenne, 30% des courriels d'hameçonnage envoyés sont ouverts et consultés. Compte tenu du coût et des efforts minimes que représentent la création et l'envoi d'un courriel, il est Il n'est pas étonnant que cette méthode reste si populaire. pour les attaquants. Et il devient de plus en plus difficile de repérer une tentative d'hameçonnage. Les attaquants qui envoient des courriels d'hameçonnage peuvent s'attendre à ce que le lien ou la pièce jointe malveillante soit consultée dans un délai compris entre 10 et 15 % du temps. dans certaines entreprises.

Sans hameçonnage automation, Lorsqu'un analyste reçoit un courriel potentiellement malveillant, soit par le biais d'un système de détection, soit par notification d'un utilisateur, il doit l'inspecter manuellement et en extraire les détails nécessaires à sa validation. Cela implique d'examiner chaque élément du courriel en détail (en-têtes, corps, etc.) et d'identifier tout indice de compromission (IOC). Pour évaluer le risque associé à un IOC, l'analyste doit ensuite accéder à diverses sources de renseignements sur les menaces et d'enrichissement de données. Cette opération nécessite généralement de copier-coller des informations dans plusieurs fenêtres ou onglets de navigateur afin d'analyser les IOC et d'en déterminer le niveau de risque. Ces étapes sont fastidieuses, chronophages, monotones, répétitives et sujettes à erreurs. La mise en œuvre de la réponse et des mesures correctives ajoute encore des étapes et du temps à la gestion globale d'un simple message d'hameçonnage potentiel.

Un excellent moyen de lutter contre ce problème consiste à rendre vos outils et votre personnel existants nettement plus efficaces. Automatisation du triage du phishing avec orchestration, automatisation et réponse en matière de sécurité (SOAR) L'utilisation de SOAR permet d'éliminer la plupart, voire la totalité, des tâches manuelles. De plus, SOAR offre la possibilité de gérer chaque événement et toutes les étapes associées à la vitesse d'une machine. En utilisant Swimlane comme plateforme SOAR, vous pouvez ingérer et analyser les e-mails, effectuer des recherches de renseignements sur les menaces et gérer la réponse et la remédiation. Ces étapes sont exécutées à des vitesses bien supérieures aux capacités humaines. Elles sont également garanties d'être exécutées conformément à votre plan d'action. Swimlane ne manque aucune étape et ne commet aucune erreur accidentelle, ce qui garantit une précision également supérieure aux capacités humaines. Plus important encore, SOAR prend en charge les tâches fastidieuses, monotones et répétitives qui épuisent et surchargent rapidement les analystes. Ces derniers peuvent ainsi se consacrer à des tâches humaines plus importantes, telles que la recherche, la chasse aux menaces et l'évaluation experte des événements suspects. Le schéma ci-dessous présente une vue d'ensemble d'une méthode de triage du phishing possible avec Swimlane.

Ce processus de gestion des incidents de phishing commence par l'ingestion, par Swimlane, d'un e-mail provenant d'une boîte mail surveillée d'une organisation où les utilisateurs envoient des spams présumés et courriels d'hameçonnage. Dès réception d'un e-mail, celui-ci est automatiquement traité et analysé. Les informations telles que l'en-tête, l'objet, le corps du message et l'adresse e-mail sont intégrées aux champs de données d'une nouvelle fiche d'incident. Les indicateurs de compromission potentiels (IOC), comme les adresses IP, les URL et les domaines, sont également analysés et intégrés aux champs appropriés. À mesure que les IOC sont identifiés par le processus, des intégrations avec d'autres outils sont automatiquement activées afin d'enrichir les données et de déterminer le niveau de risque associé. Le processus de détection d'hameçonnage utilise également des intégrations pour vérifier les informations utilisateur et, si nécessaire, ajouter des informations complémentaires à la fiche. Les pièces jointes ou les URL trouvées dans l'e-mail sont déployées dans un environnement de test (sandbox) et évaluées. Ce processus utilise également le hachage flou pour faire correspondre les données à d'autres événements connus.

Les données renvoyées par les différents outils et ressources sont immédiatement ajoutées au dossier. Le flux de travail utilise les informations combinées du dossier pour déterminer un score de risque global et décider si… courriel d'hameçonnage Un courriel doit être considéré comme malveillant, suspect ou bénin. Si le risque global est élevé et indique qu'il est malveillant, le processus exécute la réponse et/ou la mesure corrective prévue. Dans cet exemple, cela inclut des étapes telles que la mise en quarantaine automatique du terminal à l'aide de l'outil EDR, la génération et l'attribution automatiques d'un ticket d'incident pour la restauration du système à un état non infecté, ainsi que la notification du SOC et de l'utilisateur pour les informer de la situation.

couloir de nage Elle permet également d'automatiser des tâches proactives supplémentaires, comme la détection des menaces. Lorsqu'un courriel malveillant est détecté, la solution SOAR peut immédiatement analyser toutes les boîtes aux lettres de l'organisation et identifier celles présentant des indicateurs de cette activité malveillante. Selon le niveau d'automatisation souhaité, ces courriels peuvent être automatiquement supprimés ou transmis à un analyste en un seul clic. Automatisation du tri des alertes de phishing Ceci n'est qu'un exemple d'utilisation de ce que SOAR peut faire pour votre organisation. Plongez avec nous Pour en savoir plus !